AGGIORNAMENTO SICUREZZA INTERNET: Autenticazione a due fattori e Autenticazione a più fattori

A metà degli anni ’80, quando ho iniziato il mio viaggio nel campo dell’elettronica informatica, le persone non avevano più account online come oggi. Se possedevi qualsiasi tipo di "account" relativo al computer, probabilmente eri collegato a un'agenzia governativa, a una struttura di ricerca o a qualche tipo di mondo accademico, utilizzando ARPANET, CSNET O NSFNET, i precursori della moderna Internet.

In alternativa, se eri come me e ti limitavi ad aspirazioni informatiche più modeste, utilizzavi un computer “casalingo” (il mio era un Commodore 64) e ti collegavi ai “Bulletin Board Systems”, che erano simili a quelli della moderna Internet, utilizzando un contatore . – Configurazione del modem tramite reti telefoniche. Puoi anche abbonarti a servizi di rete orientati al consumatore come FidoNet o Compuserve, che addebitano al minuto.

Per accedere a tutte queste meravigliose tecnologie, utilizzavi, proprio come oggi, un “account”, che consisteva in un nome utente (assegnato o inventato da te) e una password. Queste due cose gli hanno aperto tutte le porte di Internet che aveva. I requisiti per la password erano semplici; la sicurezza non era una considerazione importante e la criminalità informatica era relativamente rara.

Avanti veloce fino ad oggi e le cose sono cambiate radicalmente. Anche se la criminalità online è esplosa fino a raggiungere proporzioni pandemiche colossali, utilizziamo ancora nomi utente e password. Anche se i requisiti per le password sono diventati più rigorosi e la sicurezza è stata messa al centro dell’attenzione, abbiamo bisogno di qualcosa di più nella lotta per rimanere al sicuro online; nomi utente e password non sono più sufficienti. Inserisci 2FA e MFA.

L'autenticazione a due fattori (2FA) e l'autenticazione a più fattori (MFA) sono termini che descrivono essenzialmente la stessa cosa: un modo per presentare prove aggiuntive (chiamate "fattori") per dimostrare che sei chi dici di essere quando provi a farlo. accedere ad un servizio online. L'intero processo si chiama “autenticazione”, cioè sei in buona fede, o “autentico”, il vero “tu”.

Il vecchio modello nome utente/password utilizza un solo “fattore”, ovvero la password. Uno dei motivi per avere un altro “fattore” è che così tanti database di password sono stati violati ed esposti a chiunque abbia voglia di guardare. Alcune persone sono anche colpevoli di utilizzare password deboli e facilmente indovinabili che non cambiano mai. Un altro motivo per aver bisogno di un altro “fattore” è che molte persone usano la stessa password per tutti i loro account. Avere più fattori rende più difficile per la persona sbagliata accedere a un account.

I fattori includono qualcosa che possiedi (come una carta bancaria), qualcosa che conosci (come una password o un PIN), qualcosa che sei (biometrico, come un'impronta digitale o altre caratteristiche fisiche uniche) e da qualche parte ti trovi (come come connesso a una rete specifica o informazioni sulla posizione come il GPS).

L'uso più comune dell'autenticazione a più fattori è inviare un codice in un messaggio di testo al telefono quando si tenta di accedere a un account online. Ad esempio, accedi ad Amazon inserendo la tua password (il primo fattore). Amazon ti invia un codice che devi inserire (il secondo fattore) e poi puoi utilizzare il tuo account Amazon.

Sfortunatamente, sebbene sia ancora ampiamente utilizzato, l’utilizzo dei messaggi di testo come metodo per ottenere codici MFA/2FA non è più consigliato. I cattivi di Internet hanno trovato molti modi diversi per hackerare il metodo del testo. Microsoft ha effettivamente emesso un avviso lo scorso novembre affermando che, a causa di problemi di sicurezza, le persone dovrebbero abbandonare la 2FA basata su messaggi di testo e iniziare a utilizzare app di autenticazione come Authy, Microsoft Authenticator o "token secure" come YubiKey.

Colonna successiva: come utilizzare strumenti MFA/2FA come Authy e Yubikey.

Dave Moore, CISSP, ripara computer in Oklahoma dal 1984. Fondatore dell'organizzazione no-profit Internet Safety Group Ltd, tiene anche seminari di formazione comunitaria sulla sicurezza in Internet. Può essere raggiunto al numero 405-919-9901 o internetsafetygroup.org